Azért Unifi alatt felhúzni egy VPN-t nem akkora macera. Főleg, hogy már OpenVPN is van rajta.

By(e) Tothbe

WAN = Internet.
Egy klasszikus switch nem tud túl sok mindent kezdeni WAN kábellel routeing funkció hiányában. Nyilván ez egy minden egybe eszköz esetében már nem olyan egyszerű.
A Unifi lényege meg pont az lenne, hogy a különálló HW funkciókkal rendelkező eszközöket egyesíti SW hálózati management alkotva, viszonylag transzparensen.
Pont ezért mondtam már igen sokszor, hogy a minden egyben Unifi eszközöknek semmi értelme mert az egész rendszer esszenciális lényege veszik el.

Mivel mindenképp van egy routered az internet előtt, így kizárólag portforwardinggal lehet direktben kirakni bármit is. Amit kirak az a port ott van és egyenes út a hálózatodba minden védelem nélkül, kvázi webszervert futtatva. Az hogy kirakott portokon esetlegesen milyen sérülékenység lehet, mindenki fantáziájára bízom.

Rendben, köszönöm a leckét. De mutatni szeretnék valamit:

Átnézve a seedelőket, a fentiek közül csak Franciák akadnak.
Ugyanakkor rühellem a személyeskedést, és a leereszkedést, kedves vincze1. Ha nincs hozzám tüzelmed, kérlek ignorálj, de ne kóstolgass.

[ Szerkesztve ]

Ne kérdezd: LEGÁLIS!!!

Kettő portforwardom van: egyik a 51413 Transmission porthoz, másik a 32400-as Plex porthoz. uPnP kikapcsolva. Minden mást csukva tartok, még az 5001-et is, illetve 2FA-s a bejelentkezésem.

Ne kérdezd: LEGÁLIS!!!

Mert aztán a Geo filtering jó mire is? Talán a zajt csökkenti, amit eddig se tudtál értelmezni és a maradékot ezután se fogod érteni. Ez nem kóstolgatás, egyszerűen az IDS-jez érteni kell, és tudni kell értelmezni.

Leírtam már párszor, hogy bármilyen nyitott porton rengeteg zaj lesz, mert manapság ilyen az internet, szünet nélküli portszkennerek tömkelege. Ezek nem támadások csak a modern internet zaja.

Mivel Ubiqiti próbálja a Suricata kimenetét felhasználó barátra csinálni csak éppen ebben az is benne van, hogy teljessen ártalmatlan dolgokat inkább támadásnak jelez csak, hogy azt az érzést keltse a felhasználóban, hogy csinál bármit, de a gyakorlatban továbbra is értelmetlen. IDS értelmezése és annak megállapítása, mit jelez és mi támadás egy külön munkakör jobb helyeken.

Azok a portszkennerek végig is próbálják általában az ismert sebezhetőségeket.

Látom a reverse proxy logjában ahogy végigkérdezi a php-kat, meg mindenféle szerveroldali kódfuttatós dolgot, hátha van olyan. Nyilván mindet dropolja, de ez ilyen.

A geo filtering legalább ezeknek nagy részét kiszűri.

Switch Tax

Igen minden szemetet észnélkül bepróbál, és akár már egy sima service detection is támadás lesz egy automata IDS-ben, ez a probléma, nem ad valós segítséget és bekapcsolva(IPS) meg több problémát okoz, mint segít.
Még egyszer a geo szűrés (ami amúgy elég pontatlan) csak egy háttér zajt csökkent nem akadályoz meg semmit. Pont ahogy az IP-k tiltogatása is tök értelmetlen. A Geo szűrés is csak egy placebo biztonság érzet, max arra jó, hogy kisebb legyen a log.

Megoldás?

- mozi bolondéria -

Univerzális, mindenkinek megfelelő megoldás nincs. Alkalmazd azokat a funkciókat, pluginokat, amelyek számodra fontosak és ne foglalkozz azzal, hogy kinek mi a véleménye róluk

Tényleg kíváncsi lettem volna. Mármit azzal tisztában vagyok, hogy nincs 100%-os védelem, mert nincs. De mi a legjobb biztonsági megoldás pl. arra, ha a delikvens torrentre engedi ki a gépét?

- mozi bolondéria -

Mi a probléma?

Én se értem, hogy mi a baj a geofilteringgel. Nem 100%-os védelem, de akkor óvszert is minek használni?!

Semmi probléma nincs vele.
A probléma ez -> "Nem 100%-os védelem", egész pontosan 0%-os, és semmilyen formában nem védelem. Még egyszer a zaj szűrése.
Tehát az a probléma, hogy a hamis "védelem" érzetét kelti. A prot scannek és különböző probe-ok nem tűnnek el, egyszerűen csak nem látod. Csak arra jó, hogy kisebb legyen a log, én is pontosan erre használom a megfelelő helyeken.

De akkor konkretizálom Unifi-ra és az esetre.
A Threat Management a bejövő csomagokat vizsgálja, és ezekben a már a hálózaton lévő csomagokban próbál előre definiált minták alapján olyan csomag mintát találni, amit ismerten támadáshoz használtak. A torrent általánosan különböző méretre (kicsi nagy) darabolt adatok, amik többnyire még titkosítva is vannak. Mivel általánosan nagyon nagy adatmennyiségről és rengeteg csomagról beszélünk, amik kvázi random adatok, így a nagy számok törvénye alapján igen nagy eséllyel fog 1-1 minta megfelelni az adott csomagnak vagy csomag részének. Így összegégében rengeteg false positive-at produkálva, ráadásul a false positive-okba bele fésülődik az internet zaja amit portscannerek és azok service detectionja és abból adódó csomag injekciók generálnak.
Az eredmény egy csomó piros üzenet, amivel a user nem tud mit kezdeni és zavarja. Mit csinál? Próbálja kiszűrni. Eredménye? Talán kevesebb piros üzenet. Értelme? Ezt döntse el mindenki maga...

Unifi Suricata-tát használ a háttérben és egy nagyon leszámszerűsített felületet nyújt hozzá, ahol nagyon kevés lehetőséged van dolgokat konfigurálni, és pont az ilyen esetekben ez erős probléma. Mert a user csak a sok pirosat látja, és hogy nagyon "támadják", és pontosan ez is a funkció lényege, hogy a userben azt az érzést keltse, hogy a fűzfala keményen dolgozik és csinál valami és tökre megérte a rengeteg pénzt kiadni rá, mert teszi a dolgát sokkal jobban mint az IPS router.
És összefoglalva pont ez a bajom a consumer szintre butított IDS/IPS-sel.

[ Szerkesztve ]

Ezek után, hogy így sikerült lehúzni a unifi routereket, miben érdemes gondolkozni?
Ubiquiti, Mikrotik vagy egy épített PfSense?

Attól függ, mire akarod használni.
A router az router nem a hálózat védelme az elsődleges feladat. Akinek nem elég a routerben beállítható "védelem", az vegyen vagy építsen dedikált tűzfalat IPS/IDS funkcióval.

A #10775 első bekezdésével nem értek egyet teljesen. Az igaz, hogy a GeoIP szűrés nem szünteti meg a portscan és egyéb támadásokat, de jelentsen csökkenti a kitettséget a nyitott portokon. Azért nem mindegy 100 000Ft IP felöl hagyod, hogy támadhassák a nyitott portokat, vagy 10 000 000 IP felé vagy elérhető.

Én az Edgerouteren állítottam be GeoIP szűrést, mivel amerikából, kínából, ausztráliából, oroszországból érzékeltem támadást a nyitott portokon. Az, hogy port scannelnek nem érdekel nem tudok vele mit kezdeni, internet sajátosság. (Persze megfelelő tűzfal eszközben be lehetne állítani, hogy portscan esetén tiltsa le az IP-t a 2. port próba után, meg IPS/IDS-t is lehetne venni, csak nekem itthonra nem látom szükségét.) De a nyitott portokra csak magyar IP-ről fogadok el TCP csomagot amit utána a home szerver végpont védelme még ellenőriz (vírusvédelem, tűzfal, IDS). Ráadásul a szerver egy "DMZ"-ben van, teljesen független alhálózaton. (Home szerveren csak torrent és Plex van, így ha baj is lenne nincs olyan tartalom amiért kár lenne esetemben.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ez a GeoIP szűrés mennyire lassítja a forgalmat az EdgeRouteren?

Swift 1.3 GLX, Garmin Fēnix 6s, EOS R, Dell T110 II, iPad Pro, iPhone 15 Pro, Unifi

Én nem vettem észre lassulást. A CPU kicsit jobban dolgozik, van hogy 15%-ra is felmegy a kihasználtság.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

"A Threat Management a bejövő csomagokat vizsgálja"
Ez ebben a formában nem igaz, kimenő csomagokat is vizsgálja.

Az én véleményem, hogy pont az egyszerűsége miatt jó az UniFi, mert ezek az eszközöket jellemzően otthoni/kisvállalati környezetben használják, oda teljesen megfelelő. Az emerging threats ruleset-jét használja, automatikus frissítéssel, nem sok dolga van vele egy kevésbé hozzáértő usernek, és félrekonfigurálni sem nagyon lehet. Ha 100 blokkolásból van néhány false pozitív, akkor mi történt? Nagyjából semmi, de vélhetően több valós támadást megakadályozott. Az IPS dinamikusan hozzáadja és törli is az iptables-ből a szabályokat, ezáltal nem lesz feleslegesen terhelve az eszköz sem, miután megszűnt egy vélhető támadás. De továbbra is az van, hogy Te nagyvállalati kategóriás eszközökhöz hasonlítod az Unifi-t, holott közel sem azok, árban és funkcionalitásban sem.

Más:
Megszűnt az EA store! Itt a hivatalos állásfoglalás.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Ezek nem támadások csak a modern internet zaja.

Ez ebben a formában nem igaz. Ha az automata scan talál nyitott portot, akkor általában rápróbál az adott portra jellemző, vagy az általa keresett szolgáltatásra (pl. rajtunk állandóan SCADA-s dolgokat próbálgatnak, ami szerencsére nincs), aztán ha találnak számukra megfelelő szolgáltatást, akkor rápróbálnak az ismert sérülékenységekre stb.
Ezen az alapon a tömeges adathalász levelek sem támadások: csak onnantól lesznek azok, ha elnavigálsz a levélben érkezett linkre, és/vagy megnyitod/futtatod a csatolmányt...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mondjuk az EA store-nak az utóbbi évben kb nulla értelme volt, mert sosem volt semmi, ami meg lett azt mindenféle robotokkal azonnal felvásárolták. Ráadásul több terméknél is rosszul járt, aki EA verziót vett, mert a sok hiba mellé a normál product végleges funkcióit nem lehetett rá feltenni, és utána support sem volt rá igazán.
Reméljük, az tényleg igaz, hogy kidolgoznak valamilyen pre-release tagságot a community-vel és talán azt úgy csinálják, hogy a tesztelőknek ne a saját pénzüket kelljen befektetni.

By(e) Tothbe

Igen vizsgálja és a kimenőt is elvileg. (Azt nem mondtam, hogy az azonosítás a Ubi felhőjében történik, így mennek az adatok hozzájuk is, amit becs szóra törölnek...)

A kimenőt azért vettem ki jelen esetben, mert elég nyilvánvalóan ha arra bejelez akkor 1000%-osan false positive. Ezért is nem vettem bele a Plex-et mert az kimenő adat és semmit nem kéne rá jelezzen, hisz csak egy videó stream.

"Ha 100 blokkolásból van néhány false pozitív, akkor mi történt?"
Továbbra se ez történik, az arány az, hogy 99+% false positive, pont ez a probléma, hogyan szűri ki egy mezei user, hogy mi a valós, itt borul meg az egyszerűség elmélet.

Ráadásként, minél inkább haladunk a titkosított csomagok felé, egy IDS annál kevesébe fog belelátni a csomagokba (főleg nem egy egyszerű, mint Suricata) és annál inkább csak tök random dolgokra fog bejelezni. Ezért van a rengeteg false positive eleve.

Amit hasonlítok, az egy fapad pfSense és Suricata, amit a Ubi is használ, csak pf esetében nyilván nincs egyszerűsített felület és még a threat intelligence-et is magad kell összevadászd, azért fizet az Ubi a user helyett.

Egy rendes enterprise terméknél, egy csoport van az IDS mögött, aki egyrészt beállítja és kalibrálja, majd kivizsgálja a jelzéseket és tovább finomít ha kell.
Az automatizált enterprise termékek esetében vagy nagyon egyszerű dolgokat jelez, vagy a háttérben a gyártónál van csoport aki vizsgálja, ezek túlnyomó többségben egybe vannak építve az endpoint managementtel.
Tényleg nem a levegőbe beszélek, ez egy elég öreg problematika.

Személy szerint úgy gondolom, hogy csak az endpoint IDS/IPS-nek van értelme, mert ott már/még titkosítatlanul vannak a csomagok, így a működik a tradicionális DPI és vele az IDS.

#10781 Egon: Történt kivizsgálás azt illetően, hogy valósan támadás történt, vagy csak minden abszolút igazság, amit az IDS mond?

---------

EA store részben sajnálatos, de sajnos voltak vele azért problémák.

Történt kivizsgálás azt illetően, hogy valósan támadás történt, vagy csak minden abszolút igazság, amit az IDS mond?

Mégis, ezt hogyan kellene megtenni? Rakjak oda valami sérülékeny Scada-t, aztán ha feltörik, akkor támadás volt, egyébként csak kóstolgatás? Még egyszer: ezek automaták, nem célzott támadások. Ha találnak valamit, akkor bepróbálkoznak, ha nem, akkor az else ágon mennek tovább, újabb ip-n kísérletezve. Mint a tömeges adathalászatnál, ahol nyilván nem özvegy Gipsz Jalabné a célpont, mert nincs 10 bitcoinja a váltságdíjra, de ha benyalja a csatolmányként érkezett zsarolóvírust, akkor így járt...
Egyébként mi a fenének szkennelnék a nyitott portokat, ha nem azért, hogy kezdjenek valamit a találatokkal? Ne keverjük ide a bug bounty programokat, mert az célzott, és egészen más a szabályozás, mint a hazai...

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Sziasztok!

Ez a HDD megfelelő UDM SE-hez? [link]

Rizsa: 5800x -b450 tomahawk max - 2x16 Gb 3200 Mhz Crucial Ballistix Sport AT - Gigabyte 6700 XT gaming oc Productivity: MacBook Pro 13" M1 Apple Silicon

Tökéletesen.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

olyannyira az, hogy konkrétan a Unifi is ezt adja hozzá, ha tőlük rendelsz.

By(e) Tothbe

Sziasztok!

Hol a fenébe lehet megnézni ezen az új controller felületen az aktuális hálózati forgalmat? Tehát hogy egyes kliensek mekkora forgalmazást bonyolítanak le, melyik kliens húzza jobban a netet stb.
Ezt a régi felületen az insight menüben találtam. Most már eltelt néhány év, átváltottam rá, vannak benne jó dolgok, de nem tartom életszerűnek váltogatni vissza a régire.
Hátha csak elkerülte a figyelmem.

Network részen jobb oldalon középtájt ott van a Most active clients. Ott a kis jobba nyilra kattintva megnyílik.

By(e) Tothbe

Köszönöm, nem az igazi, de használható valamire.
Még egy kérdés, Nanostation antenákkal kapcsolatban van tapasztalat itt a fórumban?
1-2 napja van egy problémám, amire nem találtam megoldást.
UISP-ből felügyelem őket, a link potential van hogy leugrik 50% körülire, és a a station Nano is leszakad néha 1-2 percre. (Egyik AP, másik station)
Nem vagyok túl tapasztalt antennás, a probléma kapcsán kezdtem el beleásni magam, hogy mi mit jelent, mert eddig nem volt gond az egyszerű setupokkal.

adott egy telekom optika 1000/1000
eddig egy mikrotik router és egy tplink poe switch-re volt dugva egy U6 Pro AP, amire a telefont csatlakoztatva a speedtest 7-800 Mbps sebességet mért lefelé és felfelé is.
ugyanezen az optikán egy UDM Pro és egy USW Lite 8 POE switch-re dugva ugyanaz az U6 Pro AP, a telefonon keresztül a speedtest kb 300 Mbps mindkét irányba. A telefon 5Ghz és 80 Mhz-en csatlakozik.
Mi foghatja ennyire vissza az AP-t?

Smart Que esetleg, ha bevan állítva okozhatja, talán default bekapcsol valamelyik verziótók.

http://draginet.hu , MCSA, MCSE, UEWA, Microsoft 365 Certified: Modern Desktop Administrator Associa Microsoft Certified: Windows Server Hybrid Administrator Associatete,

nálam nincs bekapcsolva

Köszi a tippet, megnéztem, de nálunk is tiltva van....

Kár, hogy egy valós probléma nem mozgatja meg legalább annyira a topikot, mint pár napja a GeoIP szűrés okozta hitvita......